4社のメーカーのIP-KVMに脆弱性があることが明らかに

https://gigazine.net/news/20260318-ip-kvm-vulnerabilities/ (03/18)

元記事

Your KVM is the Weak Link: How $30 Devices Can Own Your Entire Network - Eclypsium | Supply Chain Security for the Modern Enterprise (03/17)

元記事のAIまとめ

このレポートは、安価なIP-KVM（ネットワーク経由でPCやサーバーを操作するデバイス）が、組織全体のネットワークを脅かす「重大な脆弱点」になっていることを警告する内容です。

---

 記事の主な要点

1. 調査の背景：低価格IP-KVMの普及

• かつて数千ドルしたIP-KVMが、現在は30ドル〜100ドル程度の安価なデバイス（GL-iNet, Sipeed, JetKVM, Angeetなど）として普及しています。
• これらのデバイスはサーバーのキーボード・マウス・画面を直接制御し、OS以下のレイヤー（BIOS/UEFI）にもアクセスできるため、極めて高い権限を持っています。

2. 発見された深刻な脆弱性

Eclypsiumの研究者は、主要な4メーカー（計9モデル）において、驚くほど基本的なセキュリティ欠陥を多数発見しました。

• 認証のバイパスとルート権限の奪取: 認証なしでシステムを完全に制御できるケースが確認されました。
• 安全でないサプライチェーン: ファームウェアの署名検証がないため、悪意のあるアップデートを容易に流し込める状態でした。
• クラウド連携の不備: デフォルトでメーカーのクラウドに接続される設定が多く、インターネット経由で外部から攻撃されるリスクがあります。
• ずさんな実装: ログイン試行回数の制限（レートリミット）がなく、ブルートフォース攻撃で簡単にパスワードが突破されるものもありました。

3. なぜ「全ネットワーク」が支配されるのか

IP-KVMが侵害されると、攻撃者は以下のことが可能になります。

• 物理レベルの操作: OSのパスワードを無視してBIOS設定を変更したり、OSを再インストールしたりする。
• バックドアの設置: ネットワーク内の「踏み台」として、他のサーバーやデバイスへ攻撃を拡大する。
• データの窃取: 画面のキャプチャやキー入力のログ（キーロガー）を取得する。

4. 結論と提言

研究者は、これらのデバイスが「基本的なセキュリティ対策すら施されていない」と厳しく指摘しています。

「これらはリバースエンジニアリングで数ヶ月かけて見つけるような高度なバグではなく、ネットワーク機器として当然備わっているべき機能の欠如である」

---

 対策のアドバイス

もしこれらの安価なIP-KVMを使用している場合は、以下の対応が推奨されます。

• ファームウェアの更新: メーカーから修正パッチが出ているか確認し、即座に適用する。
• ネットワークの分離: IP-KVMを管理専用の隔離されたネットワーク（VLAN）に配置し、インターネットから直接アクセスできないようにする。
• デフォルト設定の変更: 初期パスワードの変更や、不要なクラウド接続機能の無効化を行う。

関連脆弱性

Eclypsiumが公開したレポートに基づき、対象となった4メーカー、計9つの脆弱性（CVE番号）とそれぞれのCVSS v3.1スコアをまとめました。

最も深刻なものはスコア 9.8 (CRITICAL) に達しており、認証なしでリモートからデバイスを完全に制御できる極めて危険な状態です。

---

 脆弱性とCVSSスコア一覧

メーカー	製品名	CVE番号	CVSS スコア	脆弱性の内容	修正状況
Angeet / Yeeso	ES3 KVM	CVE-2026-32297	9.8 (Critical)	重要な機能における認証の欠如。RCE（遠隔コード実行）が可能。	修正なし
Angeet / Yeeso	ES3 KVM	CVE-2026-32298	8.8 (High)	OSコマンドインジェクション。任意のコマンド実行が可能。	修正なし
GL-iNet	Comet RM-1	CVE-2026-32291	7.6 (High)	UART（シリアル通信）経由のルートアクセス。	修正計画中
JetKVM	JetKVM	CVE-2026-32295	7.3 (High)	レートリミットの不備。パスワードの総当たり攻撃が可能。	v0.5.4で修正済
JetKVM	JetKVM	CVE-2026-32294	6.7 (Medium)	アップデート検証の不備。不正なファームウェアの注入リスク。	v0.5.4で修正済
Sipeed	NanoKVM	CVE-2026-32296	5.4 (Medium)	設定エンドポイントの露出。情報の漏洩や改ざんのリスク。	修正済(※)
GL-iNet	Comet RM-1	CVE-2026-32292	5.3 (Medium)	ブルートフォース（総当たり）保護の不備。	v1.8.1 BETAで修正
GL-iNet	Comet RM-1	CVE-2026-32290	4.2 (Medium)	ファームウェアの真正性検証の不備。	修正計画中
GL-iNet	Comet RM-1	CVE-2026-32293	3.1 (Low)	未認証のクラウド接続による安全でない初期プロビジョニング。	v1.8.1 BETAで修正

(※) Sipeed NanoKVMの修正版：NanoKVM v2.3.1 / NanoKVM Pro v1.2.4

---

 特に警戒すべき点

• Angeet/Yeeso ES3 KVM: スコア 9.8 および 8.8 の脆弱性が修正されないまま放置されており、インターネットに公開されている場合は即座に攻撃の標的となる恐れがあります。
• サプライチェーンの脆弱性: 複数のデバイスで「ファームウェアの署名検証がない」という、現代のセキュリティ基準では考えられない設計ミスが指摘されています。

これらのデバイスが物理的にサーバーのUSBやビデオポートに接続されている場合、攻撃者はOSのログイン画面をバイパスして、BIOSレベルからの操作（ブート順変更によるマルウェア感染など）を行うことが可能です。

こちら　↓　も興味深い

Sipeed NanoKVM は危険か - はるさめ氏の日常 (2025/12/09)

『最後に、ユーザーの皆さんに思い出していただきたいのは、「絶対に安全な」または「中国製でない」デバイスを探す試み（中略）ではなく、最も効果的な防御はネットワークの分離とセキュリティ対策を学び、適切に設定することにあるということです。』